HAllo,
ich bekomme öfters eine falsche Website obwohl ich die richtige Adresse eingebe.
Woran liegt das, und wie bekomm ich das weg?
Muss ich Firefox neu installieren?
Vielen Dank für eure Hilfe!!
Grüße von Dainel
Habe ich einen "Browser-Virus"
-
hd_bw -
12. August 2006 um 09:26 -
Erledigt
-
-
Hallo,
hört sich ganz nach Ad- oder Spyware an. Du solltest mal mit Programmen wie Ad-Aware und Spybot S&D Deinen Rechner scannen.
-
Hallo,
habe kürzlich ewido-ntispy installiert, die findet nichts...
kann man spyware auch manuell suchen?
Hab mal was von Host-Dateien gehört - keine Ahnung was das ist...
Viele Grüße von Daniel -
Zitat
kann man spyware auch manuell suchen?
Wenn Du mit Manuell scannen meinst, selbst jede Datei im Explorer zu überprüfen, dann Nein.
Wenn Du damit meinst, manuell ein Programm zu starten, dann Ja. Ich empfehle die bereits von Heaven_69 genannten Programme.
Zur hosts-Datei: Artikel von Wikipedia
Du findest diese Datei bei WinXP unter C:\WINDOWS\system32\drivers\etc\hosts Die Datei hat keine Dateiendung. Öffnen kannst Du sie mit einem beliebigen Texteditor (z.B. Notepad), wenn Du etwas in der Datei änderst, muss sie auch wieder ohne Dateiendung abgespeichert werden.
Normalerweise sollte ausser ein paar auskommentierten Zeilen(*) nur dieser Eintrag vorhanden sein:
127.0.0.1 localhost
Wenn bei Dir noch andere Einträge vorhanden sind, melde Dich nochmal.
(*) auskommentierte Zeilen erkennst Du daran, dass zu Beginn der Zeile dieses Zeichen steht: #
Diese Zeilen sind nur zur Information und haben keinen Einfluss auf das Funktionnieren des Rechners.
-
Hast du schon den Cache geleert?
-
Die "Hosts"- Datei kann unter Windows normalerweise gelöscht werden, solange Du nicht auf irgendwelche sensiblen, manuellen Adressumsetzungen (z.B. bei Online-Banking) angewiesen bist.
Bei FF prüfe doch einmal die User.js (muß nicht vorhanden sein) oder Prefs.js
auf folgende Einträge:about:config:
network.proxy.type -> 0 (no proxy)
network.proxy.http -> address
network.proxy.http_port -> portNach meinem bisherigen Wissensstand, kann es sich bei Deinem Problem
a. eigentlich nur um eine Proxy-Veränderung speziell unter FF handeln, die von einer separaten und von Dir gewollten Programm-Installation verusacht worden ist, oder aber auch
b. um eine Spyware-Infektion, die in der Tat Deine Hosts-Datei oder die Run-Keys (HKLM\..\Run:etc.) Deiner Registry überschrieben hat, was gerade dann Auswirkungen hätte, wenn auf Deinem System FF als Standard-Browser definiert ist.
Ein Scan mit SpyBot oder PestPatrol würde zumindest das Zweitere ausschließen.
-----------------------------------------------------------------------------------------------------------
ganz unabhängig davon, kann ich hier nur für alle empfehlen, den WSH (Windows Scripting Host) unter Windows zu deaktivieren und zwar durch:
"HKEY_Local_Machine\Software\Microsoft\Windows Script Host\Settings" und darin die Zeichenfolge "Enabled" zu erstellen und ihr den Wert "0" zuzuweisen, um den WSH zu deaktivieren. Damit wäre zumindest, bezüglich Script-gesteuerter Mail-Anhänge, noch ein weiteres "Einfallstor" für Malware geschlossen. Der FF selber kann, nach meinem Wissen, nicht direkt auf den WSH zugreifen.
Oliver
-
Hallo Oliver,
vielen Dank für deine umfangreiche Antwort...
Werd jetzt erstmal Spybot installieren und dann sieht man mal. die variante a) überfordert evtl. meine PC-Kenntnisse, deshalb versuch ich mal b.
Gruß Daniel -
Mit http://download.hijackthis.eu/hijackthis_199.zip hijackthis runterladen und danach anklicken. Logfile erstellen lassen und auf der o.g. Seite checken lassen. Eventuell dort im Forum nachfragen.
-
Hallo,
habe nun mal Spybot S&D drüberlaufen lassen.
Der hat auch ein paar "Probleme"gefunden. Und zwar 16 "verfolgende Cookies" in meinem verwendeten irefoxprofil von diversen .com Seiten die mir eigentlich unbekannt erscheinen.
Werd die Dinger mal löschen, Cookies zu entfernen kann ja nicht sehr schwer sein.
Aber andererseits sind Cookies ja eigentlich auch nichts dramatisches!?Und das Programm findet wirklich verlässlich Spyware?
Habe neulich im aktuellen Chip-Heft was gelesen von der Spywareentfernung, klang echt kompliziert. Irgendwelche Programme die sämtliche laufenden Prozesse anzeigen ( von denen man als Laie eh die Hälfte nie geört hat ) und dann die richtigen Prozesse beenden usw...Naja, mal sehn was es bringt wenn ich die Cookies lösche. Grüße von Daniel
PS: Verwunderlich, die Cookies sind nur in meinem Firefox-Hauptprofil.
Für mein Test-Profil wurden keine Cookies erwähnt. Ich habe dort aber das selbe Problem... -
Kannst Du mal ein Besispiel geben (erwartete / angezeigte Seite).
Alexander
-
Zitat von hd_bw
Ich habe dort aber das selbe Problem...
Erstelle, wie oben bereits genannt, ein HijackThis Logfile und lasse es unter http://www.hijackthis-forum.de/forumdisplay.php?f=12 auswerten. -
Zitat
habe nun mal Spybot S&D drüberlaufen lassen.
Der hat auch ein paar "Probleme"gefunden. Und zwar 16 "verfolgende Cookies" in meinem verwendeten irefoxprofil von diversen .com Seiten die mir eigentlich unbekannt erscheinen."Tracking Cookies" sind harmlos und haben mit Deinem Problem nichts zu tun.
Bestätige, ob bei Dir unter Eingabe von "about:config" oben in der Adressleiste von FF (dort wo Du immer die I-Net-Adressen eingibst), unter:
network.proxy.type -> 0 (no proxy)
network.proxy.http -> address
network.proxy.http_port -> portkeine Einträge vorhanden sind, die vielleicht durch Programminstallationen verändert wurden. (Firewall, Netzwerk, etc.).
Gehe danach vor wie folgt:
--------------------------------------------------------------------------------------------------------------
Lade http://www.atribune.org/ccount/click.php?id=7 auf deinen Desktop. Schliesse alle anderen Anwendungen.
Starte Programm. Hake "Run this program as a task" an. Du bekommst die Meldung daß Look2Me-Destroyer sich in circa einer Minute schließt und wieder öffnet.
Klicke auf OK.
Wenn sich Look2Me-Destroyer wieder öffnet, klicke auf "Scan for L2M", dein Desktop verschwindet, das ist normal. Wenn der Scan zuende ist, klicke auf den "Remove L2M".
Du wirst nun eine "Done Scanning" Meldung erhalten, klicke auf OK.
Wenn fertig, erhältst Du die Meldung "Done removing infected files! Look2Me-Destroyer will now shutdown your computer" Klick auf OK.
Dein Rechner wird nun runtergefahren, starte ihn neu.
Programm stellt u. A. die Hosts-Datei wieder her.
---------------------------------------------------------------------------------------------------------------Scanne anschließend Dein System auf Viren, z.B. mit:
a. Avast Malware-Removal Tool (ca. 390 Kb)
http://files.avast.com/files/eng/aswclnr.exeb. Avast-Overall-Scanner (ca. 11MB)
http://files.avast.com/iavs4pro/setupger.exeWäre nett, wenn Du uns dann auf dem Laufenden halten könntest.
Oliver
-
HAllo Olli,
habe nun mal about:config eingegeben und die entsprechenden Zeilen gecheckt...Einstellungsname Status Typ Wert
network.proxy.http Standard string (kein Wert - leer )
network.proxy.http_port Standard integer 0
network.proxy.type standard integer 0so, werd jetzt mal das Programm drüberlaufen lassen...
-
So, habe obiges Programm mal drüberlaufen lassen...
Mein Problem war übrigens folgendes:Um eine Netzwerkinterne Seite aufzurufen habe ich früher in die Adresszeile immer ash eingegeben...
Seit einiger Zeit lande ich aber stattdessen auf http://www.application-systems.de/
(sieht ja eigentlich nicht sonderlich unseriös aus:o )Bei anderen PCs im Netzwerk tritt dieses Problem z. T. auf, z. T. nicht...
Aber inzwischen habe ich rasugefunden dass ich die wichtige Seite ash auch direkt über die IP aufrufen kann...
Insofern ist das Problem für mic herledigt.
Mein Ziel ist es nicht, das hinterletzte Geheimnis meines PCs zu erforschen. Wenn er mir die Page wieder gibt ist das ok...
vielleicht hat sic ja auch einfach die Firma Application systems inzwischen die Rechte an der Browsereingabe ash gesichert, keine Ahnung...
Aber vielen Dank für eure umfangreiche Hilfe...
-
Wenn man einfach irgendein Wort in der Adresszeile eingibt, wird die Google-"Auf gut Glück!" Suche gestartet. Es wird also einfach die Seite mit dem höchsten Ranking zum eingegebenn Suchbegriff geöffnet.
-
Also ich habe folgendes Problem. Ich hab einen getarnten Streutrojaner auf meinen rechner den ich nicht runter bekomme ich krieg zwar die streuung gelöscht aber aber nicht den streuer hab jetzt schon fast alles aus probiert wäre echt toll wenn mir einer helfen könnte
-
Zitat von loky2000
Also ich habe folgendes Problem. Ich hab einen getarnten Streutrojaner auf meinen rechner den ich nicht runter bekomme ich krieg zwar die streuung gelöscht aber aber nicht den streuer hab jetzt schon fast alles aus probiert wäre echt toll wenn mir einer helfen könnte
:shock: Es gibt keine getarnten Streutrojaner. Wer hat Dir denn das erzählt?Wer meldet dann den Befall? Wie ist der Inhalt der Meldung? Und wo. Bitte genauen Weg angeben.
Etwas mehr Info zu System, Browser etc. wär nicht schlecht. -
Doch, das Prinzip gibts (schon ein Weilchen).
1 Prozess = Der Trojaner
1 Prozess = Der dafür sorgt, dass die Datei/ der Prozess wiederhergestellt wird sobald gelöscht/geschlossen.Mach mal einen Virenscan im Abgesicherten Modus
Edit: Eine andere Möglichkeit: Du hast eine offene Sicherheitslücke in deinem System, durch welche der Schädling einfach von Zeit zu Zeit wiederkommt.
-
Zitat von Pseiko
Doch, das Prinzip gibts (schon ein Weilchen).
1 Prozess = Der Trojaner
1 Prozess = Der dafür sorgt, dass die Datei/ der Prozess wiederhergestellt wird sobald gelöscht/geschlossen.
Das ist doch eine normale Praxis eines Trojaners, sonst wärs doch zu einfach. Dann ist fast jeder Trojaner ein "Streuer". -
Jeder würde ich nicht sagen. Einige. Von den Neueren eher viele.
Der "Ur-Sinn" eines Trojaners besteht darin, nicht entdeckt zu werden, was (wenn es funktioniert) solche Eigenschutzmechanismen überflüssig macht.
-